在任何一天,數據中心經理都要檢查他們的心理清單。安全性總是排在第一位:
網絡是安全的;資產不受網絡攻擊的影響。
沒有智能卡或生物識別認證掃描,任何人都不能進入數據中心。
有一個數據中心進出的審計跟蹤。
警報程序在出現安全漏洞時通知團隊的。
安全性完全取決于保護層,大多數互聯網數據中心在應用防御層保護虛擬訪問和物理邊界方面做得很好。但是數據中心內部的實際設備呢?機柜中的服務器是否受到物理訪問的保護?
如果櫥柜不安全,就相當于支付家庭安全服務費用,把家庭珠寶放在廚房的桌子上,而不是放在保險箱里。
架子上的杠
曾幾何時,只需在入口處通過安全,可審計的訪問控制來管理對整個數據中心的訪問就足夠了。只要你能合理地確保沒有未經授權的人訪問你的敏感數字基礎設施,只要你能向審計人員提供這些合理措施的證據,你就可以。
不斷升級的監管要求——如HIPAA、SOX、PCI DSS 3.2和SSAE 16——現在要求敏感系統和數據受其自身特定保護。
此外,還有來自內部的風險。內部威脅包括人為錯誤,仍然是數據中心停機的主要原因之一。為了幫助消除內部威脅,只需要讓受信任的用戶訪問他們有權使用的特定機柜。
如今,大多數安全性都集中于將人拒之門外,但并不一定要關注在進入初始安全層之后數據中心內發生了什么。
因此,確保只有授權人員才能進入數據中心已經不夠了。您必須跟蹤和監視他們對特定敏感系統的訪問,并確保他們對特定領域擁有正確的權限。您必須能夠提供一個廣泛的審計跟蹤,以了解誰在什么時候接觸了這些系統,以及他們每次都做了什么。
作為回應,數據中心正在使用多種方法支持機架級別的物理安全性和合規性:
可以遠程管理的電子機箱,以便使用企業安全策略或臨時管理在正確的人員和正確的系統之間映射適當的權限。
接近卡認證,使授權人員可以方便地快速訪問他們授權的機箱。
機架內攝像頭,捕捉實時視頻和照片,自動標記相關數據(時間、日期、用戶ID、系統數據、動作等),用于審計文檔和取證。
與DCIM或其他訪問和構建控制系統集成,以促進單點控制并輕松整合所有與安全/合規相關的審計跟蹤。
加密和檢測安全措施,directadmin漢化,以確保機架級安全保護和審計系統的完整性。
實時警告/警報,將需要立即注意的事件通知適當的各方。
同樣重要的是要認識到您的機架級控件并不存在于真空中。它們是數據中心基礎設施管理工作流的一部分。它們進入你的SIEM分析和取證。它們支持向組織的內部和外部審計員提供合規性文檔。它們甚至可以在其他過程中發揮作用——例如捕獲和分析基于活動的數據中心成本。
機架級工具應該與各種相關硬件和軟件很好地集成在一起。而機架級管理中的各種利益相關者——從一線技術人員到外部監管機構,站群服務器,必須對通過這些集成提供的數據和控制有高度的信心。因此,除了從技術角度有效地將機架級的工具集成到更廣泛的安全性和合規性流程之外,您還必須確保技術和非技術利益相關者了解這些集成如何幫助他們完成各自的工作。
在理想的情況下,新機柜控件的安裝應該很容易地與現有的鎖進行更新,并與現有的機柜基礎設施(如PUD)進行即插即用,這樣您就可以利用現有的數據中心基礎設施,消除安裝單獨的安全系統、布線和網絡布線的成本。當然,您還需要與現有的DCIM應用程序、資產跟蹤系統、LDAP/AD目錄服務等配合使用,以便共享數據。例如,用于構建訪問的感應卡系統使用的ID徽章憑證可用于建立直至機柜級別的訪問權限。
您無需對數據中心機箱進行“煮沸海洋”檢修,即可開始更好的機架級控制和審計。選擇附件的良好試驗計劃可以為您提供所需的實際操作,以確保在您準備執行更完整的部署時取得成功。
相關閱讀:
